斗象科技TCC团队发布了「ARL资产安全灯塔」开源版,该工具专注于互联网资产快速侦察,旨在帮助安全团队和渗透测试人员高效收集和查找资产薄弱点。采用Python开发,支持Web API、Mongo数据存储和Celery任务调度。项目已上线GitHub,提供丰富的资产发现功能,包括DNS枚举、端口扫描、服务识别等,具备高域名覆盖度和多维度数据展示。此外,ARL还与鱼鹰漏洞检测框架集成,支持本地化部署和流行漏洞检测。
斗象TCC团队正式发布「ARL资产安全灯塔」开源版,该项目现已上线开源社区GitHub。ARL旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。
ARL采用Python3.6开发,Web API接口通过flask构建,数据存储在mongo中,任务调度采用celery进行分发(目前暂不支持windows平台,Linux和MAC建议采用Docker 运行)
为什么要开源?
目前市面有较多优秀子域名收集工具,但可以实现自动发现子域名,服务,站点,指纹、URL等资产工具却比较少有,「ARL资产安全灯塔」可以快速完成与目标关联的互联网资产侦察工作,节省在渗透测试工作中资产收集与清查时间,提升渗透测试整体效率。
核心功能
ARL(Asset Reconnaissance Lighthouse)资产侦查灯塔旨在快速发现并整理企业外网资产并为资产构建基础数据库,无需登录凭证或特殊访问即可主动发现并识别资产,让甲方安全团队或者渗透测试人员快速寻找到指定企业资产中的脆弱点,降低资产被威胁利用的可能性并规避可能带来的不利影响。
产品架构
资产梳理的路径会根据输入的数据进行变动与调整。如输入数据为基于域名时,采用的技术手段包括DNS枚举、智能域名生成枚举、第三方API服务来获取子域名,
最低0.47元/天 解锁文章
1021
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
